Sofistike bir Çin tehdit oyuncusu kampanyası, dünya çapında Çince konuşan toplulukları hedefleyen en kalıcı kötü amaçlı yazılım dağıtım operasyonlarından biri olarak ortaya çıktı.
Haziran 2023’ten bu yana, bu devam eden kampanya, hem Çin hem de uluslararası bireylere ve kuruluşlara Windows hedefli kötü amaçlı yazılım sunmak için özel olarak tasarlanmış 2.800’den fazla kötü amaçlı alandan oluşan kapsamlı bir altyapı oluşturmuştur.
Tehdit aktörleri, Çin çalışma saatlerinde dikkate değer bir tutarlılıkla çalışır, sahte uygulama indirme sitelerini, aldatıcı yazılım güncellemelerini ve popüler hizmetler için sahte oturum açma sayfalarından yararlanan çok yönlü bir yaklaşım kullanır.
Hedefleri, pazarlama uygulamaları, işletme satış platformları ve kripto para birimi ile ilgili hizmetlerin kullanıcıları arasında finansal olarak motive olmuş siber suçlara ve kimlik bilgisi hırsızlık operasyonlarına açık bir odaklanma yer alıyor.
Kampanyanın kapsamı ve kalıcılığı güvenlik araştırmacılarından önemli ilgi gördü.
DoDaintools analistleri, Haziran 2025’ten itibaren Aralık 2024’ten bu yana yaratılan 850’den fazla alandan 266 alan adının aktif olarak kötü amaçlı yazılım dağıtımı olarak kaldığını, operasyonun sürekli altyapısını ve sürekli evrimini vurguladığını belirledi.
Son zamanlarda yapılan operasyonel değişiklikler, aktörlerin otomasyon karşıtı kodları uygulayarak, Baidu ve Facebook gibi izleme hizmetlerine olan güvenini azaltarak ve algılamayı önlemek için altyapılarını daha fazla sunucuda dağıtarak savunma önlemlerine uyum sağladığını göstermektedir.
Bu değişiklikler, siber güvenlik karşı önlemlerinin olgun bir şekilde anlaşılmasını ve operasyonel etkinliğin korunmasına olan bağlılığını önermektedir.
Çok aşamalı enfeksiyon mekanizması
Kötü amaçlı yazılım dağıtım süreci, çok aşamalı bir enfeksiyon zinciri aracılığıyla sofistike teknik uygulama gösterir.
.webp)
Alanın analizi googeyxvot[.]top URL’leri gizlemek ve kötü amaçlı güncellemeleri yönlendiren sahte tarayıcı uyumluluk hatalarını tetiklemek için aktörlerin JavaScript gizlemesini kullanmasını ortaya çıkarır.
.webp)
Kullanıcılar bu aldatıcı sitelerle etkileşime girdiğinde, bir MSI yükleyicisi içeren bir zip dosyası alırlar.
Dosya flashcenter_pl_xr_rb_165892.19.zip (SHA256: 7705AC81E004546B7DACF47531B830E31D3113E217ADEF1F8DD6EA6F4B8E59B) yürütülebilir dosyayı içerir svchost.13.exeindirici bileşeni olarak işlev gören.
Bu indirici, komut ve kontrol sunucularından şifrelenmiş yükleri, özellikle URL’lerden alınır. https://ffsup-s42.oduuu[.]com/uploads%2F4398%2F2025%2F06%2F617.txt.
Son yük, anahtarla xor şifrelemesini kullanır 0x25 Gömülü PE dosyasının kodunu çözmek ve yürütmek için, kampanyanın kaçınma tespitinde teknik karmaşıklığını gösterirken, geniş alan altyapılarında yaygın dağıtım için operasyonel sadeliği korurken.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.